IT Consulting

정보보호에 대한 흐름의 변화와 인증제도

신수정박사/넷시큐어테크놀로지 컨설팅본부장

1. 정보보호분야의 흐름

Solms는 정보보호 분야의 발전 과정을 세 단계로 구분하였다. 첫번째 단계는 80년대 초반 까지의 기술적 물결(technical wave)의 단계로서, 이 단계에서는 메인프레임 중심의 운영체제에 구현된 보안기술에 초점을 맞추었으며, TCSEC과 같이 보안기능에 대한 기술적 평가가 이 단계에서 태동되게 되었다. 두 번째 단계는 80년대 중반에서 90년대 중반까지의 관리적 물결(management wave)의 단계로서, 이 단계에서는 정보시스템의 기술적 환경의 변화에 따른 보안관리의 중요성이 대두되었다. 그러므로 이 단계에서는 보안정책 및 관리 조직의 정립과 같은 이슈들이 체크리스트 또는 best practices의 형태로 다루어졌다. 세 번째 단계는 90년대 중반 이후의 조직화 물결(institutional wave)단계로서, 이 단계에서는 정보보호 관리체계의 수립 및 운영이 조직의 문화의 일부로서 정착되는 부분이 중심이다. 또한 이 단계에서는 정보호호의 수준을 지속적으로 측정할 수 있는 방안 및 인증제도 등이 이슈화되고 이러한 흐름을 반영하여 ISO 13335 (GMITS), BS7799의 ISMS, SSE-CMM 등의 보안관리 프레임워크가 개발되었다.

국내에서도 시기의 차이는 있지만 Solms 가 언급한 정보보호의 발전 단계를 거치고 있다는 느낌이다. 사실 국내에 정보보호의 중요성에 대한 인식이 기업들에 광범위하게 퍼진 것은 오래되지 않았다. 물론 국내의 정보보호에 대한 노력과 준비는 이미 오래전부터 있어왔지만, Y2K의 열풍이 지나간 다음해 초 인2000년 초에 발생한 Yahoo 등 주요 웹사이트에 대한 DDOS공격이 국내 기업의 정보보호에 대한 관심을 확산하게한 시발점이라 해도 과언이 아닐것이다. 이 시기의 특징은 언급한 바와 같이 대부분의 사람들이 정보보호를 순수한 기술적 문제로 인식하였다는 것이다. 이 시기에 정보보호의 중심축은 ‘해킹’에 있었으며, ‘해킹’을 대응할 수 있는 기술을 제시하는 것이 정보보호의 모든 해결책인 것으로 간주하였다.

그러므로 이 시기의 보안 컨설팅의 초점은 ‘모의해킹’ 이었다. 즉 해커의 입장에서 기업의 인터넷상의 공개서버들을 침투하여 관리자의 권한을 획득함으로써 기업의 서버의 취약성을 드러내었다. 또한 이러한 위험을 대응하기 위해 방화벽 등의 보안 시스템을 구축하도록 권고하였다.

그러나 시간이 지나면서 기업들은 보안이 단순한 기술적 문제는 아닌 것 같다는 의심을 가지게 되었다. 보안의 문제들의 근본적인 원인을 모색해 볼 때 보안 문제의 근본적인 원인과 출발점은 버그가 있는 OS가 아니라 조직내의 불충분한 보안 프로세스와 불순한 동기를 가진 사람임을 인식하게 되었다. 특히 언론의 호들갑과는 달리 외부 해커의 공격이 기업에 미치는 영향보다 오히려 불순한 동기를 가진 내부직원들의 정보에 대한 불법적인 접근이 기업에 미치는 피해가 훨씬 크다는 것을 발견하게 되었다.

또한 수 많은 보안시스템을 구입했으나 보안시스템이 결코 보안을 보장해주는 것이 아님을 깨닫게 되었다. 다양한 보안시스템은 더 많은 관리의 손길을 필요로 하게 되었다. 그러나 기업이 가지고 있는 보안담당 인력의 수와 능력은 충분하지 않은 환경에서 결국 침입차단시스템의 정책은 제대로 관리되지 못하고 침입탐지시스템의 수많은 경고와 로그들은 무시되게 되었다. 때로 제대로 관리되지 못한 보안시스템은 도리어 침입의 매개체로 역할을 하기도 하였다. 또한 한때 보안 컨설팅업체의 ‘모의해킹’ 결과 안전하다고 진단을 받은 시스템들조차 몇 일 뒤에 나오는 새로운 OS의 버그의 출현으로 인해 안전성을 확신할 수 없게 되어 무언가 관리를 필요로 하는 상황을 야기하게 되었다.

결국 기업의 보안 담당자들이나 컨설턴트 들은 정보보호가 기술적인 문제만이 아니라는 인식을 가지게 되었고 관리적인 부분에 관심을 가지게 되었다. 이들은 보안의 조직을 검토하였으며, 위험을 평가하고, 보안의 프로세스들을 정립하고, 정책과 지침/절차를 수립하였다. 이러한 관리의 틀안에서 기술요소를 접목함으로써 보안 문제의 해결을 조금 더 체계적으로 접근할 수 있게 되었다.

보안 컨설팅 회사도 이전의 모의해킹 서비스의 틀을 벗고 BS7799, ISO 13335등의 다양한 관리체계로 방법론을 정비하여 기업에 총체적인 보안 컨설팅 서비스를 제시하려 하였다. 이러한 흐름이 작년까지의 흐름이었다.

올해 들어와서 새롭게 제시된 부분들은 바로 제 3단계의 이슈들이다. 즉 2단계에서 수립된 정보보호관리체계를 기업에 어떻게 유지하고 내재화 할 수 있는가가 중요한 이슈로 대두되었다. “과연 수립된 보안관리체계가 지속적으로 유지되고 운영되기 위해 힘을 불어넣을 요소가 무엇인가?”를 고민하게 되었고 이에 대한 해답을 발견하게 되었는데 그것이 바로 ‘측정’과 ‘인증’ 이다.

“ 측정(Measure)할 수 없다면 관리(manage)할 수 없다” 라는 말이 있다. 어떠한 체계이든 적절한 측정이 이루어지지 않으면 그 체계의 운영은 지속되고 개선되기 어렵다. 그러므로 적절한 평가와 측정은 정보보호관리체계가 정착되는데 큰 도움을 줄 수 있고 그러한 측정이 외부자라면 더더욱 효과적일 수 있다. 왜냐하면 정보보호 체계란 결국 프로세스와 사람이 연관된 문제이고, 프로세스와 사람의 문제는 최소한 초기에는 자체적으로 보다는 외적인 압박에 의해서 더 용이하게 변할 수 있기 때문이다.

또한 측정과 평가는 내부적으로 뿐 아니라 외부적인 객관적 기관에 의해 이루어질 수도 있다. 이와 연관된 이슈가 ‘인증’이다. . ‘인증’이라는 것은 공인되고 객관적인 제 3자가 기업의 정보보호관리체계 운영의 적정성에 대해 심사과정을 거쳐 증명하여 주는 것이다. 특히 국제화시대에서 ‘인증’은 단순히 내부의 보안활동의 적정성을 객관화하는 것 이상의 의미가 있다. 국제화 시대에서 보안의 문제는 어느 한 기업에 국한 되지 않는다. 예를들면 한 기업이 다른 기업과 연결되어 인터넷으로 상거래를 할 경우 자신의 기업은 보안이 잘 되어 있다 할지라도 상대 기업의 보안이 취약하다면 그 취약성이 자신의 기업에 전이 되어 위험을 발생시킬 수 있다. 그러므로 기업은 상대 기업과의 안전한 거래를 위해 상대기업에게 보안이 제대로 준비가 되어 있는지 확인을 요구할 필요가 있다. 이것이 ‘인증’이 필요한 또 하나의 이유이다.

2. 정보보호관리체계 인증제도

이러한 ‘인증’제도는 아직 활성화 된 단계는 아니지만 선진국에서는 이미 몇 년전부터 존재해왔고 현재 확산되고 있는 추세이며 조만간 무역장벽이나 선진국의 사업기회로 활용될 가능성이 크다고 예측되고 있다.

그러면 ‘인증’의 의미는 무엇인가? 정보보호 관련된 ‘인증’은 보통 사람이 생각하듯이 어느 기업 또는 시스템들이 해킹을 당할 가능성이 없고 100% 안전하다는 보증이 아니다. 이 인증은 기업이 설령 해킹을 당하더라도 그 대응을 적절하고 시스템적으로 수행할 수 있는 체계가 수립되고 운영되고 있는지를 보증하는 것이다. 즉 ‘보안관리체계’ 또는 ‘보안관리 프로세스’에 대한 인증이지 특정 시스템의 해킹 불가에 대한 안전성 보장 인증이 아니라는 것이다.

정보보호체계와 관련된 인증으로써 현재 국제적으로 BS7799의 인증제도가 가장 널리 알려져 있다. BS7799인증은 주로 영국을 중심으로 유럽지역에서 이루어지고 있다가 최근에 들어서는 점차 기타 지역으로 확대되고 있는 추세이다. 국내에서도 몇 몇 기업들이 이미 BS7799인증을 획득한 바 있다. BS7799는 ISO에 의해 채택되었다는 점(현재는 PART1만 해당), 국제적으로 가장 광범위하게 알려졌다는 점, 기술적인 중립성을 가지고 있다는 점 등 많은 장점을 가지고 있다. 그러나 BS7799 인증은 인증을 받은 기업들이 대부분 유럽지역 중심이라는 점, 인증범위가 대상기업이 주관적으로 정의하고 인증의 많은 부분이 심사원의 주관에 달려 있다는 점, 관리적인 부분에 너무 초점 맞추어져 있는 점 등에서는 단점으로 지적되고 있다.

또한 민간인증으로서는 미국의 TRUSECURE 인증도 널리 알려져 있다. 이 인증은 민간인증의 특성상 컨설팅과 결합된 형태로 진행되며, 관리적 부분뿐 아니라 기술적인 부분을 중요시 한다. 이 인증 프레임웍에서는 인증의 요구사항을 제시하고 기업이 이러한 인증의 요구사항을 대응할 수 있도록 컨설팅하며, 기업이 인증의 요구사항을 충족시킬 수 있는 수준에 이르렀을 경우 인증을 부여하게 된다. 이 인증방법은 BS7799의 인증이 가지고 있는 문제점을 많이 해결하지만 범 국가적인 인증체계가 아니라 민간기업의 인증체계라는 점에서 국제적인 확산의 걸림돌을 가지고 있다. 또한 인증과 컨설팅이 결합되어 있다는 면은 장점이자 인증의 신뢰성 여부에 대한 단점을 지닌다.

국내에서는 정통부, 산자부의 두 기관을 중심으로 인증에 대해 많은 논의를 수행하였다가 2002년 4월 정통부에서 먼저 인증제도를 고시한바 있다. 이 인증제도는 BS7799의 인증체계를 많은 부분 수용하되, 관리체계의 분류와 통제사항을 BS7799보다 조금 더 명확하게 반영하였다. 또한 심사원의 주관성과 대상기업의 융통성을 조금 줄이는 방식으로 객관화 정도를 높이려 하였고 국내의 상황을 반영하려 하였다. 그러나 아직 이 인증을 받은 기업이 없으므로 그 장, 단점을 판단하기는 곤란한 상황이다. 그럼에도 불구하고 국내에서는 정부기관의 제도가 기업에 상당한 영향을 미치는 현실을 고려할 때, 정통부의 인증제도는 BS7799나 TRUSECURE등의 인증제도보다 국내에 훨씬 활발하게 확산될 가능성이 있고 정부의 의지 여부에 따라 기업에 상당한 압박을 가할 가능성까지 내포하고 있다.

3. 인증제도에 대한 장, 단점

사실 ‘인증’제도는 국제적인 추세이고 가야하는 방향임에 틀림없지만 적극적인 면과 소극적인 면 두 가지를 모두 내포하고 있음은 틀림없다.

적극적인 면에서 ‘인증’은

i) 최고 경영층의 인지도를 증가시킬 수 있고 의지를 이끌어 낼 수 있다.

ii) 정보보호체계를 수립하고 정착시킬 수 있는 상당한 힘을 실어준다.

iii) 단기간에 체계를 수립할 수 있도록 한다.

iv) 정보보호 컨설팅업체들과 관련 기업들이 활발하게 활동할 수 있게 한다.

그러나 단점과 부작용도 적지 않은데 특히 한국의 실정에서는 외국에서와 다른 각도의 부작용들이 예상된다. 이는 과거 국내의 Y2K인증의 사례, 품질인증의 사례 등에서 찾을 수 있는데

i) 인증의 객관성과 기준이 불명확함에 따라 인증이 남발될 수 있다.

ii) 한국의 최고 경영층은 ‘인증’을 전시용으로 활용할 가능성이 크다.

iii) 이에 따라 기업은 내실은 갖추지 않고 단기간에 외부 컨설팅업체에 많은 돈을 드려서 급조한 문서 위주의 작업을 통한 인증을 받을 우려가 있다.

iv) 결국 인증이후에는 문서는 캐비닛에, 관리 프로세스는 ‘정지’ 상태로 가는 경우가 많을 것이다.

v) 컨설팅업체는 ‘인증’을 보증하는 방식으로 장사를 할 가능성이 크다.

vi) 경영층은 ‘정보보호관리체계의 인증’이라는 것을 우리회사는 보안이 100% 안전하다는 것으로 받아들여 인증 후에는 더 이상 보안에 대해 관심을 갖지 않을 가능성이 크다.

vii) 인증을 주는 심사원의 자격과 자질 등도 큰 문제가 될 수 있다.

4. 인증제도의 활용과 우리의 역할

그러므로 Y2K의 인증제도의 모습을 보아왔고 실제 다양한 직접적인 역할로 참여해왔던 필자나 많은 기술사 분들은 ‘정보보호’에 대한 인증제도의 태동과 확산의 출발점 앞에서 다양한 생각을 할 수 있다. 어떤분은 사업적인 활용방안에 대한 생각을 하실 수 있고, 어떤분은 우려와 염려의 생각도 하실 수 있을 것이다.

그러나 예상되는 많은 문제점에도 불구하고 정보보호관리체계에 대한 ‘인증’은 새로운 물결의 핵심이며 대세이므로 기업의 정보보호관리자는 도리어 이 제도를 적극적으로 활용할 필요가 있다. 이를 적절하게 활용한다면 경영층의 전폭적인 관심과 지원하에 기업의 정보보호관리체계을 단기간에 수립하고 활성화시키며 정착시킬 수도 있다. 물론 이를 잘못 활용하여 ‘인증’이라는 결과치 획득만을 목표한다면 체계 구성과 이행은 반드시 실패하고 쓸모없는 인증용 문서만 캐비닛에 쌓일것이다.

기술사 분들도 이러한 정보보호의 동향과 관련하여 국내 기업의 정보보호 수준을 한 단계 높일 수 있는 나름대로의 방안들을 찾아보고, 이에 일조할 수 있는 위치에 있다면 건전한 정보보호 체계가 국내 기업문화에 정착될 수 있도록 다양한 위치에서 그 사명을 다하여야 할 것이다.